Annuncio pubblicitario
Gestire un sito Web basato su WordPress è spesso un piacere, permettendoti di concentrarti sui contenuti e di costruire relazioni con lettori e altri siti Web.
Tuttavia, non tutti sul Web sono amichevoli come te. Da qualche parte c'è un elenco con sopra il nome del tuo blog, dove si trova, in attesa di essere preso di mira dagli hacker. Quando si avvicinano al tuo blog, proveranno varie tattiche per accedervi, forse con l'obiettivo di vendere droghe legali o infettare i computer dei tuoi visitatori con malware.
Fortunatamente, ci sono vari modi in cui puoi proteggere il tuo blog WordPress dagli hacker.
Aggiorna regolarmente WordPress
Una delle soluzioni più potenti ma spesso trascurate per proteggere WordPress dagli hacker è assicurarsi che sia regolarmente aggiornato.
Ovviamente c'è un lato negativo in questo - alcuni dei tuoi migliori plugin di WordPress I migliori plugin di WordPress Leggi di più potrebbe smettere di funzionare se WordPress viene aggiornato, ma allo stesso tempo dovrebbe essere considerato come un'opportunità aggiorna i tuoi plug-in, trova i sostituti che sono essi stessi sicuri e affidabili e in pratica rinforza il tuo sito web o blog. Attenersi ai plugin che si trovano nella directory di WordPress è anche un buon modo per tenere tutto sotto controllo.
L'aggiornamento di WordPress è possibile all'interno della Dashboard, ma prima di procedere esegui sempre un backup del database.
Mantieni backup regolari
Una procedura importante per tutti i proprietari di blog di WordPress è garantire che i backup vengano eseguiti regolarmente e che possano essere facilmente ripristinati in caso di problemi.
Le soluzioni sono molte, ma Cloudsafe365 è una delle più potenti, che combina il backup su cloud (Dropbox può essere utilizzato) con vari strumenti di protezione sicura contro tecniche come scripting cross site, iniezione SQL e persino monitoraggio del contenuto furto.
Cloudsafe365, disponibile da Sito dei plugin di WordPress, è disponibile in tre gusti. Un'opzione gratuita copre le cose sopra elencate, mentre le opzioni a pagamento offrono ulteriori funzionalità come la protezione contro l'iniezione di codice e gli attacchi di forza bruta.
Installa un plug-in di accesso crittografato
La protezione dell'atto effettivo di accesso al tuo sito Web basato su WordPress viene effettuata al meglio utilizzando un plug-in di accesso crittografato, poiché il software del sito Web non dispone di questa funzionalità per impostazione predefinita. Probabilmente la migliore soluzione per questo - perfetta per proteggere i dettagli di accesso al tuo blog dagli sniffer di pacchetti su reti wireless - è Chap Accesso sicuro, che utilizza l'algoritmo SHA-256 per proteggere il nome utente e la password.
Nel frattempo il Blocco accesso Il plugin è un modo utile per bloccare gli IP che registrano ripetuti tentativi falliti di accedere al tuo sito.
Altre misure di protezione dell'accesso che è possibile eseguire includono l'installazione di un plug-in CAPTCHA avanzato. RetinaPost è un plugin particolarmente impressionante, che richiede agli utenti di inserire caratteri evidenziati da una frase piuttosto che provare a decifrare immagini di testo sbagliate o fare sfide matematiche. Qualsiasi tentativo di interrompere il tuo blog usando il sistema dei commenti può essere notevolmente ridotto usando questo plugin.
Nascondi "Powered by WordPress"
Gli hacker hanno una tattica diversa per ciascuno dei vari tipi di software per siti Web in uso, ma puoi rendere le cose più difficili per loro non pubblicizzando il fatto che il tuo sito Web è "Powered by WordPress”.
Per impostazione predefinita, queste informazioni sono disponibili nel file footer.php, raggiungibile inserendo la Dashboard del tuo blog, selezionando Aspetto> Editor per modificare all'interno della finestra del browser. Temi diversi richiedono metodi diversi per la rimozione di questo testo, quindi è necessario controllare online per trovare l'approccio migliore (se per visualizzare la legenda viene utilizzato il testo normale, quindi eliminarlo; se si utilizza il codice PHP, procedere con cautela a meno che non si sappia cosa si sta facendo).
Cambia nome utente amministratore
Un modo in cui gli hacker possono trovare un modo per entrare nel tuo sito è utilizzare il software di forza bruta che tenterà accessi multipli usando parole e frasi comuni come password, insieme a una selezione di ovvi nomi utente.
Il nome utente amministratore in WordPress può essere selezionato quando il software è configurato, ma nella fretta di fare qualcosa molti utenti lo lasciano alla scelta predefinita di "admin". Come ovvi nomi utente vanno, questo viene in cima all'elenco, motivo per cui è importante modificarlo.
Esistono due modi per modificare il nome utente admin. Innanzitutto, puoi creare un secondo account amministratore con un nome utente non ovvio, quindi eliminare l'utente originale. Tieni presente, tuttavia, che ciò potrebbe influire su tutti gli articoli scritti con l'account amministratore (potrebbero non essere pubblicati fino a quando non viene impostato un nuovo nome o visualizzare un errore nella pagina dei post).
Probabilmente il modo più efficace per farlo è accedere a phpMyAdmin del tuo sito, selezionare WordPress database, trova la tabella wp_users ("wp_" è un prefisso predefinito che potrebbe essere stato modificato durante l'installazione) e Usa il Navigare icona per trovare il nome utente "admin".
Una volta scoperto, trova la colonna user_login, fai clic su modificare pulsante sulla riga appropriata e quindi modificare "admin" con il nome di accesso dell'account amministratore preferito, facendo clic su Partire quando hai fatto.
Sposta il file wp-config
Un problema evidente con WordPress è che i dettagli di sicurezza chiave sono memorizzati in un singolo file non crittografato che può essere hackerato e utilizzato per assumere il controllo del tuo blog. Il file wp-config.php contiene i dettagli di accesso dell'amministratore nonché il nome utente e la password per il database MySQL.
Pertanto, proteggere questo file è fondamentale se si desidera proteggere il sito dagli hacker.
Una cosa che non dovresti fare, tuttavia, è eliminare wp-config - questo renderebbe il tuo sito inutilizzabile (e piuttosto vuoto). Quindi, come proteggete il vostro sito da questa bizzarra vulnerabilità?
Dalla versione di WordPress 2.8, i proprietari dei blog hanno avuto la possibilità di spostare il file nella directory web principale sul server. Ciò significa, ad esempio, che se hai installato il tuo sito www.mysite.com/wordpress, il file wp-config.php può essere spostato di livello, nella directory mysite.
Conclusione
Indipendentemente da quanto tu sia tecnico o non tecnico, se gestisci un blog WordPress non ci sono scuse per non implementare nessuno o tutti questi strumenti per proteggere il tuo sito Web dagli hacker.
Dopo tutto, che senso ha dedicarsi a tutto quel duro lavoro solo per scoprire che qualcuno ha preso il controllo del sito e ora ti sta costando i tuoi visitatori regolari pubblicizzando il Viagra?
Questi passaggi possono essere implementati in un paio d'ore, forse una sola mattina del fine settimana se hai poco tempo a disposizione, quindi non ignorare, agire ora.
Christian Cawley è vicedirettore per la sicurezza, Linux, DIY, programmazione e spiegazione tecnica. Produce anche The Really Useful Podcast e ha una vasta esperienza nel supporto di desktop e software. Un collaboratore della rivista Linux Format, Christian è un armeggiatore di Raspberry Pi, amante di Lego e fan dei giochi retrò.
